次の方法で共有

Microsoft Defender ポータルでの高度な捜索

  • [アーティクル]
  • 適用対象:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

統合ポータルでの高度なハンティングを使用すると、Microsoft Defender XDR のすべてのデータを表示してクエリを実行できます。 これには、さまざまな Microsoft セキュリティ サービスのデータと、Microsoft 以外の製品からのデータを含む Microsoft Sentinel が 1 つのプラットフォームに含まれます。 クエリや関数など、既存のすべての Microsoft Sentinel ワークスペース コンテンツにアクセスして使用することもできます。

異なるデータ セット間で 1 つのポータルからクエリを実行すると、ハンティングの効率が高くなり、コンテキスト切り替えが不要になります。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ運用プラットフォームの一部として使用できます。 Defender ポータルの Microsoft Sentinel が、運用環境で使用できるようになりました。 詳細については、 Microsoft Defender ポータルの「Microsoft Sentinel」を参照してください。

アクセス方法

必要な役割と権限

統合された高度なハンティング ページで Microsoft Sentinel と Microsoft Defender XDR データ全体に対してクエリを実行するには、Microsoft Defender XDR の高度なハンティング ( 「必要なロールとアクセス許可」を参照) と少なくとも Microsoft Sentinel 閲覧者 ( 「Microsoft Sentinel 固有のロール」を参照) にアクセスできる必要があります。

統合ポータルでは、自分が持っているロールとアクセス許可に基づいて、現在アクセスできる任意のワークロード内のデータに対してクエリを実行できます。

ワークスペースを接続する

Microsoft Defender では、上部バナーの [ワークスペースの接続] を選択して ワークスペースを接続 できます。 このボタンは、統合された Microsoft Defender ポータルに Microsoft Sentinel ワークスペースをオンボードする資格がある場合に表示されます。 「 ワークスペースのオンボード」の手順に従います。

Microsoft Sentinel ワークスペースと Microsoft Defender XDR の高度なハンティング データを接続したら、高度なハンティング ページから Microsoft Sentinel データのクエリを開始できます。 高度なハンティング機能の概要については、「高度なハンティング を使用して脅威を事前に検出する」を参照してください。

Microsoft Sentinel にストリーミングされる Defender XDR テーブルに対する想定内容

  • クエリでデータ保持期間が長いテーブルを使用 する – 高度なハンティングは、Defender XDR テーブル用に構成された最大データ保持期間に従います ( 「クォータについて」を参照してください)。 Defender XDR テーブルを Microsoft Sentinel にストリーミングし、そのテーブルのデータ保持期間が 30 日を超える場合は、高度なハンティングで長期間クエリを実行できます。
  • Microsoft Sentinel で使用した Kusto 演算子を使用 する – 一般に、Microsoft Sentinel からのクエリは、演算子を使用するクエリを含む高度なハンティングで adx() 機能します。 クエリ内の演算子がスキーマと一致しないと IntelliSense から警告が表示される場合がありますが、クエリを引き続き実行でき、正常に実行される必要があります。
  • クエリでタイム スパンを設定するのではなく、時間フィルター ドロップダウンを使用 します。テーブルをそのままストリーミングするのではなく、Defender XDR テーブルのインジェストを Sentinel にフィルター処理する場合は、不完全な結果が生成される可能性があるため、クエリの時間をフィルター処理しないでください。 クエリで時刻を設定すると、通常はデータ保持期間が長くなるため、Sentinel からストリーミングされたフィルター処理されたデータが使用されます。 すべての Defender XDR データに対して最大 30 日間クエリを実行する場合は、代わりにクエリ エディターで提供されている時間フィルター ドロップダウンを使用します。
  • Microsoft Sentinel からストリーミングされた Defender XDR データの表示SourceSystemMachineGroup列 – 列SourceSystemMachineGroup列は、Microsoft Sentinel にストリーミングされると Defender XDR テーブルに追加されるため、Defender での高度なハンティングの結果にも表示されます。 ただし、ストリーミングされなかった Defender XDR テーブル (既定の 30 日間のデータ保持期間に従うテーブル) では空白のままです。

注:

Microsoft Sentinel ワークスペースを接続した後に Microsoft Sentinel データを照会できる統合ポータルを使用しても、Microsoft Sentinel で Defender XDR データに対してクエリを実行できるわけではありません。 これを実現するには、Defender XDR の生データ インジェストを Microsoft Sentinel でまだ構成する必要があります。

Microsoft Sentinel データを検索する場所

高度なハンティング KQL (Kusto クエリ言語) クエリを使用して、Microsoft Defender XDR と Microsoft Sentinel のデータを検索できます。

ワークスペースを接続した後に高度なハンティング ページを初めて開くと、[ スキーマ ] タブの下に Microsoft Defender XDR テーブルの後にソリューション別に整理されたそのワークスペースのテーブルの多くを見つけることができます。

Microsoft Defender ポータルの [高度なハンティング スキーマ] タブのスクリーンショット。Sentinel テーブルの場所が強調表示されています

同様に、Microsoft Sentinel の関数は [関数] タブで見つけることができ、Microsoft Sentinel の共有クエリとサンプル クエリは、Sentinel とマークされたフォルダー内の [クエリ] タブにあります。

スキーマ情報を表示する

スキーマ テーブルの詳細については、[スキーマ] タブの下にある任意のスキーマ テーブル名の右側にある垂直省略記号 ( kebab アイコン ) を選択し、[ スキーマ表示] を選択します。

統合ポータルでは、スキーマの列名と説明を表示するだけでなく、次の情報も表示できます。

  • サンプル データ – 次のような単純なクエリを読み込む [プレビュー データの表示] を選択します TableName | take 5
  • スキーマの種類 – テーブルが完全なクエリ機能 (高度なテーブル) をサポートしているかどうか (基本ログ テーブル)
  • データ保持期間 – データが保持されるように設定されている期間
  • タグ – Sentinel データ テーブルで使用できます

Microsoft Defender ポータルのスキーマ情報ペインのスクリーンショット

関数を使用する

Microsoft Sentinel の関数を使用するには、[ 関数 ] タブに移動し、目的の関数が見つかるまでスクロールします。 関数名をダブルクリックして、クエリ エディターに関数を挿入します。

関数の右側にある垂直省略記号 ( kebab アイコン ) を選択し、[挿入] を選択 してクエリを実行して 、クエリ エディターのクエリに関数を挿入することもできます。

他には次のオプションがあります。

  • 詳細の表示 – 詳細を含む関数側ウィンドウが開きます
  • 関数コードの読み込み – 関数コード を含む新しいタブが開きます

編集可能な関数の場合、垂直方向の省略記号を選択すると、さらに多くのオプションが使用できます。

  • 詳細の編集 – 関数の詳細を編集できるように関数側ペインを開きます (Sentinel 関数のフォルダー名を除く)
  • Delete – 関数を削除します

保存されたクエリを使用する

Microsoft Sentinel から保存されたクエリを使用するには、[ クエリ ] タブに移動し、目的のクエリが見つかるまでスクロールします。 クエリ名をダブルクリックして、クエリ エディターでクエリを読み込みます。 その他のオプションについては、クエリの右側にある垂直省略記号 ( kebab アイコン ) を選択します。 ここから、次のアクションを実行できます。

  • クエリの実行 – クエリ エディターでクエリを読み込み、自動的に実行します

  • クエリ エディターで開く - クエリ エディターでクエリを読み込みます

  • 詳細の表示 – クエリの詳細サイド ウィンドウが開き、クエリを検査したり、クエリを実行したり、エディターでクエリを開いたりできます。

    Microsoft Defender ポータルで保存されたクエリで使用できるオプションのスクリーンショット

編集可能なクエリの場合は、その他のオプションを使用できます。

  • 詳細の編集 – クエリの詳細サイド ウィンドウが開き、説明 (該当する場合) やクエリ自体などの詳細を編集するオプションが表示されます。Microsoft Sentinel クエリのフォルダー名 (場所) のみを編集できません
  • 削除 – クエリを削除します
  • 名前の変更 – クエリ名を変更できます

カスタム分析と検出ルールを作成する

環境内の脅威や異常な動作を検出するために、カスタム検出ポリシーを作成できます。

接続された Microsoft Sentinel ワークスペースを介して取り込まれたデータに適用される分析ルールの場合は、[ ルール > の管理] [分析ルールの作成] を選択します。

Microsoft Defender ポータルでカスタム分析または検出を作成するためのオプションのスクリーンショット

分析ルール ウィザードが表示されます。 分析ルール ウィザードの [全般] タブで説明されているように、必要な詳細を入力します。

Microsoft Sentinel テーブルと Defender XDR テーブルの両方からデータを照会するカスタム検出ルールを作成することもできます。 [ ルール > の管理] [カスタム検出の作成] の順に選択します。 詳細については、「 カスタム検出ルールの作成と管理 」を参照してください。

Defender XDR データが Microsoft Sentinel に取り込まれる場合は、[ カスタム検出の作成 ] と [ 分析ルールの作成] のどちらかを選択できます。

結果を調べる

実行されたクエリの結果は、[ 結果 ] タブに表示されます。結果を CSV ファイルにエクスポートするには、[エクスポート] を選択 します

Microsoft Defender ポータルで結果行を展開するオプションを含む高度なハンティング結果のスクリーンショット

次の機能を使用して、結果をインラインで調べることができます。

  • 各結果の左側にあるドロップダウン矢印を選択して結果を展開する
  • 該当する場合は、JSON 形式または配列形式の結果の詳細を展開します。読みやすくするために、該当する結果行の左側にあるドロップダウン矢印を選択します。
  • サイド ウィンドウを開いてレコードの詳細を表示する (展開された行と同時に)

行内の任意の結果値を右クリックして、次の場合に使用することもできます。

  • 既存のクエリにフィルターを追加する
  • 詳細な調査で使用する値をコピーする
  • クエリを更新して JSON フィールドを新しい列に拡張する

Microsoft Defender XDR データの場合は、各結果行の左側にあるチェック ボックスをオンにして、さらにアクションを実行できます。 [ インシデントにリンク] を 選択して、選択した結果をインシデントにリンクするか (「 クエリ結果をインシデントにリンクする」を参照) または アクションを実行 してアクションの実行ウィザードを開きます ( 詳細なハンティング クエリ結果に対するアクションの実行に関するページを参照してください)。

既知の問題

  • テーブルは IdentityInfo table Defender XDR のままであるためIdentityInfoMicrosoft Sentinel からの は使用できません。 このテーブルに対してクエリを実行する分析ルールなどの Microsoft Sentinel 機能は、Log Analytics ワークスペースに直接クエリを実行しているため、影響を受けません。
  • Microsoft Sentinel SecurityAlert テーブルは、アラートに関するすべてのデータを含む テーブルと AlertEvidence テーブルに置き換えられますAlertInfo。 SecurityAlert は [スキーマ] タブでは使用できませんが、高度なハンティング エディターを使用してクエリで引き続き使用できます。 このプロビジョニングは、このテーブルを使用する Microsoft Sentinel からの既存のクエリを中断しないように行われます。
  • ガイド付きハンティング モード、インシデントへのリンク、アクションの実行機能は、Defender XDR データでのみサポートされています。
  • カスタム検出には、次の制限があります。
    • カスタム検出は、Defender XDR データを含まない KQL クエリでは使用できません。
    • Microsoft Sentinel データを含む検出では、ほぼリアルタイムの検出頻度を使用できません。
    • Microsoft Sentinel で作成および保存されたカスタム関数はサポートされていません。
    • Sentinel データからのエンティティの定義は、カスタム検出ではまだサポートされていません。
  • 高度なハンティング エクスペリエンスでは、ブックマークはサポートされていません。 Microsoft Sentinel > の脅威管理>ハンティング機能でサポートされています。
  • Defender XDR テーブルを Log Analytics にストリーミングする場合は、 列と TimeGenerated 列にTimestamp違いがある可能性があります。 データが 48 時間後に Log Analytics に到着した場合は、 へのインジェスト時に now()オーバーライドされます。 そのため、イベントが発生した実際の時刻を取得するには、列に Timestamp 依存することをお勧めします。
  • 高度なハンティング クエリについて Copilot にセキュリティ を求めるメッセージが表示されると、現在、すべての Microsoft Sentinel テーブルがサポートされていない場合があります。 ただし、将来、これらのテーブルのサポートが期待される場合があります。